Před daty
neutečete

Běžíte. Ještě pár kroků a budete u rohu budovy, u které chcete na chvíli zvolnit a protáhnout si lýtka, aby zítra tolik nebolela. Máte za sebou už sedm kilometrů, rozsvítí se na vás z trochu zapocených, ale stále chytrých hodinek. Rychle na mobilu překlikáte všechny další údaje, tepovka dobrá, trasa o trochu jiná než minule. Po sprše chcete ještě chvíli pracovat, proto probouzíte svůj Mac ze spánku. Mrknete na Facebook, chvíli jen tak scrollujete, aniž byste příspěvkům věnovali moc pozornosti. Ve statickém pruhu mezi timelinem a chatem vás ale zaujme nabídka na uklidňující čaje pro lepší spánek. Náhoda, zrovna dneska ráno jste o něčem takovém přemýšleli, když jste se vlastně moc nevyspali. Hned pod tím je reklama na obchod s rybářskými potřebami. Vy ale přece nerybaříte. Jen jste kolem něj před hodinou běželi…</p>

<p>
Zdá se vám to povědomé? Pak možná sdílíte svá data s někým, s kým nechcete.

Příliš osobní reklama

Big dat v oblasti lidského zdraví a péče rychle přibývá. Podle Mezinárodní datové korporace se jen loni prodalo 78,1 milionu nositelných zařízení, takzvaných wearables – smartwatches nebo hodinek sledujících životní funkce. Letos by jich mělo být 102 milionů a za čtyři roky by se jejich počet měl více než zdvojnásobit. Chytré hodinky, které hlídají váš spánek nebo ideální tepovou frekvenci při běhání, sbírají zdánlivě „neškodná“ data. Co by dělali s takovými údaji hackeři, ušklíbnete se.

Jednoduše řečeno, i takové informace jsou pro ně dobrým zdrojem financí. Ti, kteří si tato data koupí, si podle vašich běžeckých rituálů mohou udělat obrázek o tom, kdo jste. „Z chytrých hodinek dokážete získat určité trendy, informace o tom, jak je to bonitní klient, že si asi kupuje sportovní oblečení nebo různé preparáty na zvýšení výkonu a podobně,“ vysvětluje bezpečnostní analytik Martin Půlpán z Net Pointers Communications.

Výhodně se dají prodat i informace z různých zdravotních aplikací. Z každodenního měření tlaku bezdrátovým přístrojem napojeným na aplikaci v mobilu lze vyčíst, zda tento člověk trpí třeba srdeční vadou nebo poruchou tlaku. Následná reklamní nabídka na konkrétní léky v mailu pak nemusí být náhoda. Loni měli lidé na výběr z více než 160 tisíc zdravotních a medicínských aplikací. Více než třetina z nich se zabývala fitness, 17 procent životním stylem a 12 procent všech aplikací řešilo diety, spočítala IMS Health, která poskytuje statistiky farmaceutickým společnostem a zdravotnictví.

Své údaje v mobilu nemůžete sami uchránit, tedy pokud chcete wearables a aplikace používat. V tom případě totiž souhlasíte s podmínkami výrobce a informace o vašem tlaku, tepu nebo spánku už vám vlastně nepatří. Jsou součástí obrovského množství dat, sesynchronizovaných na abstraktních cloudech nebo v datových centrech dané firmy. Pokud podniká na českém trhu, ochranu těchto údajů zaručuje kybernetický zákon a zákon na ochranu osobních údajů, podobně i v Evropě. „Je definováno, jak se dá s daty nakládat a je to poměrně regulováno,“ popisuje Půlpán.

Pokud je ale server někde mimo Evropu a sídlí tam i firma, musíte doufat, že vaše informace budou chráněny. „Otázkou je, jestli ta společnost vůbec má zájem data zabezpečit, protože to je investice navíc. V okamžiku, kdy má cloudovou službu, se musí rozhodnout, zda chce do bezpečnosti dát finance, bude mít solidní byznys a přinese jí to lepší klienty, nebo jestli má cloud na sbírání informací o svých zákaznících,“ doplňuje Půlpán.

<img src=“beh_5km.svg“ alt=Kamarád vás nedoběhne, reklama ano.“>

Riziko úniku je stoprocentní

Ať už jsou to údaje z chytrých hodinek, mobilních aplikací, od pojišťoven, lékařů, nebo nemocnic, hackeři dokážou „zpracovat“ všechno – nic nepřijde vniveč. A riziko úniku těchto dat je stoprocentní.

„Pokud se hackeři dostanou do databází nemocnic nebo pojišťoven, snaží se stáhnout veškeré citlivé informace – kromě zdravotní dokumentace i osobní údaje pacientů, jejich rodná čísla, data o zaměstnancích atd.,“ popisuje Půlpán. Na všem se totiž dá dobře vydělat, záleží ale také na tom, pro koho hackeři pracují. Osobní údaje mohou prodat třeba k vytvoření falešných dokumentů na tržištích tzv. darknetu. Tam je na výběr velké množství cizích identit, pasů nebo identifikačních průkazů z celého světa.

Zdravotní dokumentace se pak podle Půlpána hodí třeba farmaceutickým firmám nebo distributorům léků. „Ať se farmaceutické firmy tváří eticky, nebo méně eticky, jsou to informace o klientech, které se dají velmi dobře zpeněžit,“ dodává. V databázi lze poměrně snadno vyhledat všechny pacienty s rakovinou nebo vzácnými nemocemi, jejichž léky jsou drahé a náklady na léčbu jakbysmet. „Nemocným mohou chodit cílené reklamy na různé přípravky, které životně potřebují nebo je osloví různé organizace specializující se na jejich léčbu, které si tuto databázi koupí,“ vysvětluje bezpečnostní analytik. „Je to v podstatě obchod s lidským neštěstím,“ dodává.

Hackeři na takových informacích mohou hodně vydělat. V současnosti je zdravotní dokumentace pro kupce jedna z nejcennějších informací a dá se za ni získat více než za údaje z bankovních karet. Příjem hackerů navíc může plynout z více zdrojů. V případě, že nemocniční počítače nakazí vyděračským malwarem, požadují za odšifrování databází násobky tisíce dolarů, podle počtu zašifrovaných počítačů. Platí se v bitcoinech, v přepočtení na koruny jde o statisíce, takže to nejsou tak velké částky. Ovšem placení vyděračům je dost rizikové – nemusí se stát vůbec nic, takže přijdete o data i o peníze. Výdělek se dá samozřejmě rozmnožit napadením více databází a pak je tu i odměna od kupce.

„Je to organizovaný zločin, jsou za tím skupiny, které mají hodně peněz, takže hackeři mají ty nejlepší technologie a zázemí. A jsou vždy trochu dál než kybernetická bezpečnost,“ říká Půlpán. Vyřešit takový útok podle něj v současnosti trvá kolem 200–250 dní.

Na druhou stranu podle něj není složité takový útok provést a dokáže to i člověk bez velkých znalostí. Údajně se dá malware objednat i při běžném googlování. Při brouzdání darknetem je to ale jednodušší a narazíte na webovky hackerů, kteří jsou ochotni za peníze udělat cokoliv, pokud jim věříte. Pak je na výběr i velká škála různých návodů. „Když víte, kam se podívat, můžete si malware objednat na dark webu přes ‚klasický e-shop‘. Naklikáte si, co chcete, aby malware dělal, a zhruba za tisíc dolarů vám ho pošlou,“ popisuje analytik.

Elektronické zdravotnictví v ohrožení

Podle Půlpána není zdravotnická organizace v Česku, která by se nestala terčem hackerského útoku. Potvrzují to třeba samotné nemocnice, které se s útoky setkávají často.

„Denně jsme vystaveni plošným útokům – spam, brutal force attack na různé veřejně dostupné služby. V poslední době jsme rovněž zaznamenali phishingový útok – podvržený email. Dříve jsme se rovněž setkali s virem TeslaCrypt, u kterého se nám zašifrovaná data podařila dešifrovat. V současnosti je aktuální CryptoWall,“ vyjmenovává mluvčí Fakultní nemocnice v Ostravě Tomáš Oborný.

Právě zmíněnému vyděračskému malwaru s názvem ransomware (ransom = výkupné) byla vystavena i Fakultní nemocnice v Brně. „Řešili jsme to aktualizací antivirového systému a obnovou dat ze záloh,“ říká mluvčí brněnské fakultky Pavel Žára. Ani ta ostravská hackerům nezaplatila a spolehla se na své zálohy.

O ransomwaru občas slýcháte v televizi, je to v podstatě škodlivý software, který si nainstalujete sami po otevření přílohy v mailu. Může to být e-mail i od někoho, s kým běžně komunikujete. Po stažení přílohy se do počítače stáhne malware, který zašifruje celý počítač. Následně se na obrazovce objeví, že za odšifrování musíte zaplatit určitou částku. Pokud nemáte zálohu, bez odšifrování se ke svým datům už nemáte šanci dostat. Takže buď vyděračům dáte peníze a riskujete, že tím stejně ničeho nedocílíte, nebo je máte navždy ztracena.

Virové a spamové útoky řeší často i Fakultní nemocnice v Brně. „Ochranu dat provádíme formou antiviru a antispamu,“ popisuje mluvčí Pavel Žára.

„Velmi často se používají pro stažení malwaru jako zástěrka servery, se kterými napadená organizace často komunikuje. Pokud se nedíváte na obsah té komunikace, tak to firewall nepozná, nerozumí jejímu smyslu,“ říká analytik.

Další z metod vydírání, kromě napadení počítačů, je vyhrožování. To se podle Půlpána nemocnic v Česku také dotýká. Na monitoru se může objevit zpráva – Máme přístup k vašim datům a ty vám můžeme ukrást, zaplaťte. „A to je nejrafinovanější, protože nevíte, jestli to je pravda, nebo ne,“ říká analytik.

Často nepomůže ani záloha. Ta se totiž mohla vytvořit až po napadení počítačů a obnovení dat by obnovilo i ransomware. Podle Půlpána většinou organizace v tomto případě platí, ačkoliv se o tom veřejně nemluví. „Dost často jsem se tady v Česku setkal s takovou reakcí: „Když se nám to stane, tak tu zdravotní dokumentaci najdeme v papírech,“ popisuje analytik..

To se má v blízké budoucnosti změnit, protože vláda na konci listopadu schválila Národní strategii elektronického zdravotnictví. Ta by měla veškerou papírovou komunikaci odstranit – od objednání e-mailem, přes elektronickou konzultaci problému s lékařem až po vydání léku na e-recept.

O tom, jak budou všechna data zabezpečená, ale ministerstvo mluvit nechtělo. Veškerou práci s daty údajně bude potřeba upravit v rámci implementace strategie. „Soukromí musí elektronické zdravotnictví posilovat, a ne omezovat. Nastavení míry soukromí musí být v rukou občana, a celý systém je tak nutné připravit tak, aby podporoval efektivní poskytování zdravotní péče,“ uvedl pouze mluvčí ministerstva Ladislav Šticha.

Podle všeho ale tato otázka zatím vyřešena úplně není. Říká to alespoň ředitel obchodu pro státní správu společnosti Ness Technologies, která podobnou strategii zaváděla na Slovensku. „V předložené strategii nejsou zpracovány některé zásadní otázky koncepce eHealth, jako třeba vlastnictví dat pacientů, povinnost a nepovinnost zapojení, centralistický nebo decentralistický model či zajištění bezpečnosti, včetně kybernetické,“ uvedl.

<img src=“blackhat_schema.svg“ alt=Hackeři „černokloboučníci“ virem zablokují disk s daty uživatele. Po něm pak vyžadují výkupné v bitcoinech za odemčení dat. „Když nezaplatíš, tvé informace budou navždy ztraceny!“ psávají vydíraným.“>

Zastaralé zabezpečení

Nemocnice i pojišťovny řeší bezpečnost „standardně“. „Máme stanovena přístupová práva do informačních systémů, jsou definována bezpečnostní pravidla na síťové úrovni, používáme firewall, kontrolu provozu a monitoring a v neposlední řadě rovněž aktuální antivirové programy,“ říká mluvčí ostravské FN Oborný.

Zabezpečení si organizace zajišťují samy prostřednictvím svých IT oddělení, bez pomoci externích firem. Například Česká průmyslová zdravotní pojišťovna ale outsourcuje specifické služby při provozu, rozvoji a správě bezpečnosti Elektronické přepážky, která slouží téměř 190 tisícům jejích pojištěnců ke kontrole plateb za své pojištění či proplácení léků. „Je to nutné z důvodu využití specialistů na tuto oblast v požadovaném rozsahu. Spolupráce s externími dodavateli je kryta vždy zvláštní bezpečnostní smlouvou,“ popisuje mluvčí pojišťovny Elenka Mazurová. Největší pojišťovna v Česku, VZP, má na všechno vlastní zaměstnance.

„Současné zabezpečení nemocnic či u lékařů je takové klasické. Fungovalo proti klasickým útokům, kde byl malware, který měl nějakou strukturu nebo to byl nějaký vir, trojský kůň, jejž dokážete chytit podle toho, že víte, jaká ta struktura je,“ říká Půlpán. S vývojem technologií jsou ale útoky jiné, než na které stačí současná zastaralá IT technika. „V dnešní době musí zabezpečení hledat vlastnosti v těch strukturách, musí se monitorovat, co se v síti děje,“ dodává analytik.

Technologie, které pomáhají s útoky bojovat, ale stojí několik milionů korun. A tolik peněz organizace do bezpečnosti nedávají, i proto, že jsou státní. Třeba brněnská fakultka do bezpečnosti investuje statisíce korun a předpokládá, že částku bude zvyšovat. Ostravská nemocnice ročně dává do zabezpečení půl milionů korun, navyšování ale neplánuje. „Je tam ale riziko, že se lékaři nedostanou k informacím o pacientech, které nutně potřebují k operacím, a mohou ohrozit jejich životy. Takže investice řádově sedm deset milionů není tak strašná. To riziko úměrné této investici je obrovské, v podstatě se nedá ani vyčíslit,“ dodává Půlpán.

Otázkou také je, jak si nemocnice může dovolit zaplatit lidi, kteří by se jí o bezpečnost starali. Ministerstvo řídí několik fakultních a dalších nemocnic a zařízení a platy ve státní sféře nejsou tak velké jako v soukromých firmách. Podle Půlpána chybí na českém trhu asi 40 procent odborníků na kybernetickou bezpečnost.

Děkujeme za sdílení
Google+
Tumblr
Pinterest
Reddit
Hacker News
Předchozí kapitola

Scannery o vás vědí

doprava body scan biometrický pas 15 min. čtení
Následující kapitola
Kontrola nad vaším řízením

Kontrola nad vaším řízením

Tesla autonomní vozidlo hekři 15 min. čtení